本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
编辑 AWS CloudHSM 密钥存储设置
您可以更改现有 AWS CloudHSM 密钥存储的设置。必须断开自定义密钥存储与其 AWS CloudHSM 集群的连接。
要编辑 AWS CloudHSM 密钥存储设置,请执行以下操作:
-
断开自定义密钥存储与其 AWS CloudHSM 集群的连接。
在自定义密钥存储断开连接时,您无法在自定义密钥存储中创建 AWS KMS keys(KMS 密钥),并且无法使用其包含的 KMS 密钥进行加密操作。
-
编辑一个或多个 AWS CloudHSM 密钥存储设置。
您可以在自定义密钥存储中编辑以下设置:
- 自定义密钥存储的友好名称。
-
输入新的友好名称。新名称在您 AWS 账户 的所有自定义密钥存储中必须具备唯一性。
重要
不要在此字段中包含机密或敏感信息。此字段可能会以纯文本形式显示在 CloudTrail 日志和其他输出中。
- 关联的 AWS CloudHSM 集群的集群 ID。
-
编辑此值以使用相关 AWS CloudHSM 集群替换原始集群。如果自定义密钥存储的 AWS CloudHSM 集群损坏或被删除,则可使用此功能来修复自定义密钥存储。
指定一个 AWS CloudHSM 集群,该集群与原始集群共享备份历史记录并满足要求以与自定义密钥存储关联,包括不同可用区中的两个活动 HSM。共享备份历史记录的集群具有相同的集群证书。要查看集群的集群证书,请使用 DescribeClusters 操作。您无法使用编辑功能来将自定义密钥存储与不相关的 AWS CloudHSM 集群相关联。
- kmsuser 加密用户 (CU) 的当前密码。
-
向 AWS KMS 告知 AWS CloudHSM 集群中
kmsuser
CU 的当前密码。此操作不会更改 AWS CloudHSM 集群中kmsuser
CU 的密码。如果更改 AWS CloudHSM 集群中
kmsuser
CU 的密码,请使用此功能来向 AWS KMS 告知新的kmsuser
密码。否则,AWS KMS 将无法登录集群并且所有将自定义密钥存储连接到集群的尝试都将失败。
-
重新连接自定义密钥存储至其 AWS CloudHSM 集群。
编辑您的密钥存储设置
您可以在 AWS KMS 控制台中或使用 UpdateCustomKeyStore 操作来编辑 AWS CloudHSM 密钥存储设置。
在编辑 AWS CloudHSM 密钥存储时,您可以更改任何可配置的值。
-
登录到 AWS Management Console,然后通过以下网址打开 AWS Key Management Service(AWS KMS)控制台:https://console.aws.amazon.com/kms
。 -
要更改 AWS 区域,请使用页面右上角的区域选择器。
-
在导航窗格中,选择自定义密钥存储、AWS CloudHSM 密钥存储。
-
选择要编辑的 AWS CloudHSM 密钥存储的行。
如果连接状态列中的值不是已断开连接,则必须先断开自定义密钥存储,然后才能对其进行编辑。[从 Key store actions(密钥存储操作)菜单中选择 Disconnect(断开连接)。]
当某个 AWS CloudHSM 密钥存储断开时,您可以管理 AWS CloudHSM 密钥存储及其 KMS 密钥,但无法在 AWS CloudHSM 密钥存储中创建或使用 KMS 密钥。
-
从 Key store actions(密钥存储操作)菜单中选择 Edit(编辑)。
-
执行以下一项或多项操作。
-
为自定义密钥存储键入新的友好名称。
-
键入相关 AWS CloudHSM 集群的集群 ID。
-
键入关联的 AWS CloudHSM 集群中
kmsuser
加密用户的当前密码。
-
-
选择保存。
在此过程成功后,将显示一条消息,描述您编辑的设置。如果此过程失败,则会显示一条错误消息,描述问题并提供有关如何解决问题的帮助。如果您需要更多帮助,请参阅对自定义密钥存储进行故障排除。
-
要使用 AWS CloudHSM 密钥存储,您必须在编辑后重新连接它。您可以让 AWS CloudHSM 密钥存储保留断开状态。不过,在其断开连接后,您无法在 AWS CloudHSM 密钥存储中创建 KMS 密钥或在加密操作中使用 AWS CloudHSM 密钥存储中的 KMS 密钥。
要更改 AWS CloudHSM 密钥存储的属性,请使用 UpdateCustomKeyStore 操作。您可以在同一命令中更改自定义密钥存储的多个属性。如果此操作成功,则 AWS KMS 返回 HTTP 200 响应和无属性的 JSON 对象。要验证变更是否生效,请使用 DescribeCustomKeyStores 操作。
本部分中的示例使用 AWS Command Line Interface (AWS CLI)
首先使用 DisconnectCustomKeyStore 来断开自定义密钥存储与 AWS CloudHSM 集群的连接。将示例自定义密钥存储 ID cks-1234567890abcdef0 替换为实际 ID。
$
aws kms disconnect-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
第一个示例使用 UpdateCustomKeyStore 将 AWS CloudHSM 密钥存储的易记名称更改为 DevelopmentKeys
。该命令使用 CustomKeyStoreId
参数标识 AWS CloudHSM 密钥存储,使用 CustomKeyStoreName
指定自定义密钥存储的新名称。
$
aws kms update-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
--new-custom-key-store-nameDevelopmentKeys
以下示例将与 AWS CloudHSM 密钥存储关联的集群更改为同一集群的其他备份。该命令使用 CustomKeyStoreId
参数标识 AWS CloudHSM 密钥存储,使用 CloudHsmClusterId
参数指定新集群 ID。
$
aws kms update-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
--cloud-hsm-cluster-idcluster-1a23b4cdefg
以下示例向 AWS KMS 告知当前 kmsuser
密码为 ExamplePassword
。该命令使用 CustomKeyStoreId
参数标识 AWS CloudHSM 密钥存储,使用 KeyStorePassword
参数指定当前密码。
$
aws kms update-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
--key-store-passwordExamplePassword
最后一个命令将 AWS CloudHSM 密钥存储重新连接到 AWS CloudHSM 集群。您可以将自定义密钥存储保留断开状态,但必须先连接它,然后才能创建新的 KMS 密钥或使用现有 KMS 密钥来进行加密操作。将示例自定义密钥存储 ID 替换为实际 ID。
$
aws kms connect-custom-key-store --custom-key-store-id
cks-1234567890abcdef0